Mondo
Come se non bastassero la portata e la gravità del bug ‘Heartbleed’ che avrebbe messo a rischio i contenuti di due terzi dei siti mondiali (inclusi Google, Amazon, Yahoo e Facebook), un’altra polemica è esplosa nel fine settimana. Protagonista la solita NSA, l’Agenzia per la sicurezza nazionale americana, che – secondo quanto riportato da Bloomberg – sarebbe stata a conoscenza della vulnerabilità e se ne sarebbe servita per i suoi ben noti scopi spionistici sui quali molto ha rivelato la ‘talpa’ Edward Snowden.
Bloomberg cita due fonti anonime secondo le quali la National Security Agency avrebbe mantenuto il riserbo sull’esistenza di questa falla per (ovvio anche questo) ‘motivi di sicurezza nazionale’. Circostanza, quest’ultima, prontamente smentita dalle autorità americane: in una nota, la portavoce del Consiglio per la sicurezza nazionale, Caitlin Hayden, precisa che “…la NSA non era al corrente della vulnerabilità recentemente identificata in OpenSSL, battezzata Heartbleed, fino a quando non è stata resa pubblica in un rapporto di una società privata di sicurezza informatica. Le informazioni che vogliono far credere il contrario sono false”.
“Se il governo federale o l’intelligence avessero scoperto questa vulnerabilità prima della scorsa settimana, avrebbero informato i responsabili di OpenSSL”, aggiunge Hayden.
Eppure, riferisce Bloomberg, l’NSA e altre agenzie di intelligence spendono parecchi milioni per individuare falle che potrebbero tornare utili per carpire i segreti dai Pc più protetti: l’intelligence americana impiegherebbe a questo scopo almeno un migliaio di esperti che scoverebbero le vulnerabilità dei software più comuni utilizzando sofisticate tecniche di analisi, la maggior parte delle quali top secret. Secondo le fonti citate da Bloomberg, la NSA avrebbe individuato Heartbleed subito dopo la sua comparsa e la falla sarebbe diventata una delle armi sgrete dell’agenzia per rubare password e altri dati.
Heartbleed, a detta degli esperti, è una delle più ‘catastrofiche’ vulnerabilità della storia di internet e avrebbe riguardato più di mezzo milione di siti ritenuti affidabili dal punto di vista della sicurezza.
La sua scoperta, tra le altre cose, ha spinto il governo canadese a sospendere l’accesso al sito che permette ai contribuenti di presentare la propria denuncia dei redditi online. La vulnerabilità ha toccato anche il lato hardware della rete (router, switch, firewall e altri prodotti fisici) spingendo Cisco Systems e Juniper Networks a fornire delle patch per i loro sistemi.
